Es ist einer der großen Aufreger im Zuge der Anwendung der Datenschutz-Grundverordnung (DSGVO) seit 25.5.2018: Was bedeutet die DSGVO für § 22 und 23 des Kunsturhebergesetzes (KUG)? Diese Vorschrift regelte bislang das “Recht am eigenen Bild”, also die Frage, unter welchen Voraussetzungen Fotos veröffentlicht werden dürfen, auf denen Personen erkennbar abgebildet sind. 70 Jahre geltender Rechtsprechung im Bereich des Bildnisrechts befassen sich mit dieser Norm und ihrer Auslegung – und die Frage, ob diese seit dem 25.5. noch Gültigkeit hat ist genau so Gegenstand von Auseinandersetzungen zwischen Juristen, Journalisten und Datenschützern wie die Frage, ob denn Nun die DSGVO mit allem daranhängenden “Geraffel” – vor allem Dokumentations- und Informationspflichten so wie Betroffenenrechte wie Löschung usw. – auch für das Anfertigen und Veröffentlichen von Fotos und Bewegtbildern gilt.
Mich erreichen seit dem 13.6.2018 Anfragen besorgter Mandanten, die eine E-Mail von einer “DSGVO Beschwerdestelle” erhalten haben. Darin wird ein (nicht näher konkretisierter) Verstoß gegen die Datenschutzgrundverordnung (DSGVO) behauptet, von dem man sich durch irgendeine Erstberatung im Rahmen der “DSGVO Meditation” (sic!) reinwaschen können soll. Es handelt sich dabei um ziemlich offensichtlichen Spam eines Trittbrettfahrers (ähnlich dem Muster bei gefakten Filesharing-Abmahnungen). Die schlechte Nachricht dazu: Dagegen kann Ihnen Ihr Anwalt leider nicht wirksam helfen. Die gute: Mehr als das Löschen der E-Mail ist wohl nicht notwendig.
Seit 25. Mai gilt die Datenschutz-Grundverordnung (DSGVO). Das hat nun jeder mitbekommen, nicht nur weil sie jeden betrifft, sondern auch weil von interessierter Seite auch ordentlich die Werbetrommel gerührt wurde und wird: Ab 25. Mai hagelt es horrende Bußgelder und Abmahnungen! Wer jetzt nicht handelt, ist verloren! Und ja: Das Klappern gehört zum Handwerk. Auch bei Juristen. Auf diese Aussage kann man sich wohl einigen. Alles was darüber hinausgeht, sind Stilfragen, über die man streiten kann. Das möchte ich hier und heute aber gar nicht. Es geht mir um die Frage an sich:
Droht nun die DSGVO-Abmahnwelle? Oder ist das alles Quatsch?
Die wohl wichtigste Frage, nämlich die danach, inwieweit neben Facebook auch der Betreiber einer Fanpage selbst verantworlich ist für die Datenverarbeitung, die auf Seiten von Facebook durchgeführt wird, bejaht das Gericht:
Nach alledem ist auf die erste und die zweite Frage zu antworten, dass Art. 2 Buchst. d der Richtlinie 95/46 dahin auszulegen ist, dass der Begriff des „für die Verarbeitung Verantwortlichen“ im Sinne dieser Bestimmung den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst.
Allerdings: Der EuGH bejaht ebenfalls die Frage, ob die Datenschutzbehörde – hier: Das ULD – gegen Facebook Germany als Inländische Niederlassung vorgehen konnte, wenn Datenschutzverstöße der Konzernmutter festgestellt wurden. Hieran konnte man zweifeln, da am Hamburger Sitz von Facebook Germany (angeblich) nur der Verkauf von Werbeflächen uns sonstige Marketingaktivitäten entfaltet wurden. Der EuGH stellt hier fest: Das ULD konnte sehr wohl auch gegen diese Niederlassung vorgehen.
Das klingt erst einmal gut, muss allerdings gerade keine gute Nachricht für das ULD sein. Denn das Bundesverwaltungsgericht hatte schon in dem Vorabentscheidungsersuchen darauf hingewiesen, dass:
In dem Fall, dass im Licht dieser Antwort festgestellt werden sollte, dass das ULD die behaupteten Verstöße gegen das Recht auf Schutz der personenbezogenen Daten beenden könne, indem es eine Maßnahme gegen Facebook Germany erlasse, dieser Umstand das Vorliegen eines Ermessensfehlers bezüglich des angefochtenen Bescheids belegen könnte, da dieser dann zu Unrecht gegen die Wirtschaftsakademie erlassen worden wäre.
Mit anderen Worten: Das Bundesverwaltungsgericht könnte sich nun auf den Standpunkt stellen, dass das ULD gegen Facebook selbst vorgehen konnte. Und wenn es dies konnte, dann musste es dies eventuell auch. Und damit könnte das Vorgehen des ULD dann doch wieder rechtswidrig gewesen sein.
Wie geht es jetzt weiter?
Der EuGH hat den Rechtsstreit heute nicht entschieden – sondern nur einzelne Fragen, die das im Moment mit dem eigentlichen Verfahren befasste Gericht, also das Bundesverwaltungsgericht – für maßgeblich hält. Wann dieses nun entscheidet, und noch viel wichtiger: Wie es entscheiden wird, ist heute meiner Ansicht nach nicht viel klarer geworden.
Welche Folgen hat das Urteil sonst noch?
Wie die meisten mitbekommen haben, weil es vom “Anwaltsblatt” bis zur Tagesschau alle wichtigen Medien verbreitet haben, gilt seit 25. Mai die Datenschutz-Grundverordnung (DSGVO). So könnte man also auf die Idee kommen, dass die Entscheidung, die auf der Grundlage des alten Rechts – nämlich der Datenschutzrichtlinie 95/46 EU – ergangen ist, nur noch rechtsgeschichtlichen Wert hat. Dies ist aber nicht der Fall, denn hinsichtlich der Verantwortlichkeit ergeben sich gerade keine Änderungen zwischen altem und neuen Recht. Und das bedeutet wohl, dass jeder Nutzer jedenfalls von beruflich genutzten Social Media Profilen zukünftig für die Datenverarbeitung(sverstöße) des jeweiligen Anbieters (mit)verantwortlich ist. Oder, um es mit den Worten des hochgeschätzten Kollegen Thomas Schwenke zu sagen
(Kleine Einschränkung hierzu: Für private Accounts gilt dies aber jedenfalls “möglicherweise” nicht, da die Anwendung der DSGVO in Bezug auf den Profilinhaber insoweit jedenfalls fraglich ist, so steht das in Art. 2 Abs. 2c DSGVO in Verbindung mit Erwägungsgrund 18).